(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111493492.9 (22)申请日 2021.12.08 (71)申请人 恒安嘉新(北京)科技股份公司 地址 100086 北京市海淀区北三环西路25 号27号楼五层5 002室 (72)发明人 马栋　孟艳青　李鹏超　尚城　 张振涛　傅强　梁彧　蔡琳　 杨满智　王杰　田野　金红　 陈晓光　 (74)专利代理 机构 北京品源专利代理有限公司 11332 代理人 杨义 (51)Int.Cl. G06F 21/56(2013.01) G06N 20/00(2019.01)G06K 9/62(2022.01) (54)发明名称 一种恶意程序检测模型的更新方法、 装置、 设备及介质 (57)摘要 本发明实施例公开了一种恶意程序检测模 型的更新方法、 装置、 设备及介质。 其中， 该方法 包括： 提取与目标恶意程序匹配的目标恶意程序 特征， 并将目标恶意程序特征与 样本特征库进行 匹配； 样本特征库存储有恶意程序检测模型能够 学习过的恶意程序特征； 如果确定目标恶意程序 特征未命中样本特征库中的样 本特征， 则控制恶 意程序检测模 型学习目标恶意程序特征； 在确定 恶意程序检测模型成功学习目标恶意程序特征 时， 将所述目标恶意程序特征加入至所述样本特 征库中。 解决了恶意样本因为升级换代、 受到管 控打击等原因更新快， 特征变化太大， 离线训练 的模型失效较快的问题， 提高了对 未知的恶意程 序样本的识别能力， 避免了未知的恶意程序对人 们财产造成的损失。 权利要求书2页 说明书9页 附图3页 CN 114168955 A 2022.03.11 CN 114168955 A 1.一种恶意 程序检测模型的更新方法， 其特 征在于， 包括： 提取与目标恶意程序匹配的目标恶意程序 特征， 并将目标恶意程序特征与样本特征库 进行匹配； 样本特 征库存储有恶意程序检测模型能够学习过的恶意 程序特征； 如果确定目标恶意程序 特征未命中样本特征库中的样本特征， 则控制恶意程序检测模 型学习目标恶意 程序特征； 在确定恶意程序检测模型成功学习目标恶意程序 特征时， 将所述目标恶意程序 特征加 入至所述样本特 征库中。 2.根据权利要求1所述的方法， 其特征在于， 控制恶意程序检测模型学习目标恶意程序 特征， 包括： 将所述目标恶意程序 特征输入至所述恶意程序检测模型中； 所述恶意程序检测模型中 包括多个 检测子模块， 不同检测子模块用于 输出不同检测维度下的恶意 程序检测结果； 将各所述检测子模块针对所述目标恶意程序特征输出的恶意程序检测结果进行交叉 验证； 如果根据交叉验证结果， 确定各恶意程序检测结果满足偏差重训练条件， 则使用所述 目标恶意 程序特征对所述恶意 程序检测模型进行重训练； 返回执行将所述目标恶意程序 特征输入至所述恶意程序检测模型中的操作， 直至根据 交叉验证结果， 确定各恶意 程序检测结果满足一 致性条件。 3.根据权利要求2所述的方法， 其特征在于， 所述检测子模块包括： 黑 白程序二分类检 测子模块、 恶意 程序多分类家族检测子模块以及未知类型的黑 程序检测子模块。 4.根据权利要求1 ‑3任一项所述的方法， 其特征在于， 提取与目标恶意程序匹配的目标 恶意程序特征， 包括： 对所述目标恶意 程序进行静态 代码分析， 获取至少一项静态 代码特征； 对所述目标恶意 程序进行动态沙箱分析， 获取至少一项动态行为特 征； 将各所述静态代码特征和各所述动态行为特征进行组合， 形成所述目标恶意程序特 征。 5.根据权利要求 4所述的方法， 其特 征在于， 所述动态行为特 征包括下述至少一项： 网络行为特 征、 文件行为特 征、 权限行为特 征、 系统行为特 征以及通信行为特 征。 6.根据权利要求1所述的方法， 其特征在于， 在将目标恶意程序 特征与样本特征库进行 匹配之后， 还 包括： 如果确定目标恶意程序 特征命中样本特征库中的样本特征， 则直接丢弃所述目标恶意 程序特征， 以放弃对所述目标恶意 程序特征的模型 学习。 7.一种恶意 程序检测模型的更新装置， 其特 征在于， 包括： 恶意程序特征提取模块， 用于提取与目标恶意程序匹配的目标恶意程序特征， 并将目 标恶意程序特征与样本特征库进 行匹配； 样本特征库存储有恶意程序检测模型能够学习过 的恶意程序特征； 恶意程序检测模型学习 模块， 用于如果确定目标恶意程序 特征未命中样本特征库中的 样本特征， 则控制恶意 程序检测模型 学习目标恶意 程序特征； 恶意程序特征加入模块， 用于在确定恶意程序检测模型成功学习目标恶意程序特征 时， 将所述目标恶意 程序特征加入至所述样本特 征库中。权　利　要　求　书 1/2 页 2 CN 114168955 A 28.根据权利要求7所述的装置， 其特征在于， 所述恶意程序检测模型学习模块， 具体用 于： 将所述目标恶意程序 特征输入至所述恶意程序检测模型中； 所述恶意程序检测模型中 包括多个 检测子模块， 不同检测子模块用于 输出不同检测维度下的恶意 程序检测结果； 将各所述检测子模块针对所述目标恶意程序特征输出的恶意程序检测结果进行交叉 验证； 如果根据交叉验证结果， 确定各恶意程序检测结果满足偏差重训练条件， 则使用所述 目标恶意 程序特征对所述恶意 程序检测模型进行重训练； 返回执行将所述目标恶意程序 特征输入至所述恶意程序检测模型中的操作， 直至根据 交叉验证结果， 确定各恶意 程序检测结果满足一 致性条件。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1‑6中任一项 所 述的恶意 程序检测模型的更新方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机程序被 处理器执行时实现如权利要求1 ‑6中任一所述的恶意 程序检测模型的更新方法。权　利　要　求　书 2/2 页 3 CN 114168955 A 3